Hur kommunicera mellan olika subnät?

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010

Hur kommunicera mellan olika subnät?

Hej,

Frågan lyder gur kommunicera mellan olika subnät?

Mitt första problem. På jobbet har vi vpn-uppkoppling och jag har några serverar och klienter på ett subnät, hur kommer jag åt dessa hemifrån?
Som jag har förstått så måste man ändra på maskinen som skapar vpn-sanslutningen som jag inte får? Man ska dessutom kunna ändra på företagets brandvägg och dirigera om trafiken som jag heller inte får. Dubbla nätverkskort på servrarna är inget alternativ av flera anledningar. (de har redan dubbla till samma subnät m.m)

Min lösning är att ha igång en vanlig stationär dator med dubbla nätverkskort ett för vardera subnät, där jag remotar in på denna för att därefter remota in på maskinerna som jag ska arbeta med. En knepig väg men det fungerar, någon som har en bättre ide?

På ett annat ställe står det att en server har följande IP-Adress:
Teknisk nät: 192.168.100.124
Administrativt nät: 172.20.145.185

Hur fungerar detta? Som jag tolkar har maskinen bara ett fysisk nätverkskort men beroende från vilket subnät man pratar från har den olika ip-adresser kan detta stämma?

Jag hörde också ryktesväg att ett företag fick lägga ner runt en miljon på en switch som gjorde att de kunde kommunicera mellan två subnät, kan detta stämma? En switch kan betyda mycket och det var nog lite annat än vad Elgiganten m.m pratar om när de säger en switch... (jag antar en server som agerar som en slags switch)

Nå tackar för hjälpen, jag själv har bara sysslat med nätverk för hemmabruk tidigare så jag ber om ursäkt för dumma frågor.

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009

Man använder normalt sett en router för att skicka trafik mellan olika nät eller så kan man använda en L3 switch, de är dyra men 1 miljon låter för dyrt om det inte är nån mycket speciell lösning, mindre än en tiondel så dyrt räcker långt.

Phenom 2 960T (körs x6) med passivt Ninja på Asus Crosshair 4 Asus 4850 och en väldig massa masslagring.Passiv kyld Northq nätdel 450W Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, väldigt tyst, oftast passivt. Datorljud 2kanal: ljudkort/dsp Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop och mätmikrofon.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Jag skulle nog säga att du kör VPN in emot jobbet och att brandväggen routar hur lätt som helst till de två olika näten. Att ha dubblar nätverkskort hos dig är fullständigt meningslöst då routingen inte sker hos dig, utan hos företaget.
Jag har väl satt upp liknande ett hundratal gånger så...

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av mrqaffe:

Man använder normalt sett en router för att skicka trafik mellan olika nät eller så kan man använda en L3 switch, de är dyra men 1 miljon låter för dyrt om det inte är nån mycket speciell lösning, mindre än en tiondel så dyrt räcker långt.

Tackar för informationen, L3 switch känner jag igen att någon har nämnt innan. Den switch som företaget hade var för väldigt många samtidiga använder och var nog någon specialare, plus att personen nog överdrev priset för mig.

Jag har nu på jobbet alla maskiner kopplade till en bra switch i ett ljudisolerat rum. (väsnas rätt gött)

Nå skulle jag kunna koppla in en vanlig konsument router till switchen och sedan in på det fasta nätverket i jobbet?
Typ denna för 400kr http://www.kjell.com/sortiment/dator-kringutrustning/natverk/...
(jag skulle då fixa en GBit router såklart)
Nätverket på jobbet är 192.168.200.XXX

Detta vore ju helt underbart och en superenkel lösning.. Dessutom egentligen ganska enkelt, router har jag haft hur länge som helst men aldrig riktigt tänkt på vad de gör.. hehe

Edit:
Med en router så kan jag från servrarna komma ut, men hur blir det med raka motsatsen?
Hur kommer jag t.ex. åt en maskin på ipadressen 192.168.102.44 (nätmask 255.255.252.0) genom routern när jag är på ett nät där min ip är typ 192.168.220.22? (vet ej vad nätmasken är)

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av Talisker00:

Jag skulle nog säga att du kör VPN in emot jobbet och att brandväggen routar hur lätt som helst till de två olika näten. Att ha dubblar nätverkskort hos dig är fullständigt meningslöst då routingen inte sker hos dig, utan hos företaget.
Jag har väl satt upp liknande ett hundratal gånger så...

Med routa brandväggen så menar du företagets brandvägg? Denna får jag tyvärr inte pilla på, jag har dock hört flera prata om att ändra på brandväggen som ett alternativ.

Maskinerna som jag ska åt ligger på två serverar som kör VMware ESXi, jag vill inte ändra något på ESXi av flera anledningar. Som att maskinerna kostar 300 tusen kronor och de som monterade dem är svindyra om jag skulle behöva kalla på hjälp.

Dubbla nätverkskort hade jag på en klientdator i företaget som jag kommer åt genom att.
1: Koppla upp mig via företagets standard VPn, vet inte vart den går.
2: Remota in på klienten med dubbla nätverkskort.
3: Från denna klient därefter remota in på de datorer som jag vill komma åt i subnätet.

Och det är ingen smart metod, men det var den som jag kom på..

Nå tackar så mycket för hjälpen! Det är väldigt lärorikt att få veta hur man kan göra, få se vilken av lösningarna som det blir. I vilket fall blir det tyvärr egen plånbok som får betala hårddvaran.

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009

Jag tycker inte du ska pilla själv på något vis, det finns ju någon ansvarig som har bestämt att det ska konfas på ett visst sätt och börjar du själv montera in routrar eller gå runt vpn/brandväggar så lär du inte få beröm utan bli avskedad, ta kontakt med den som är ansvarig i stället.

Phenom 2 960T (körs x6) med passivt Ninja på Asus Crosshair 4 Asus 4850 och en väldig massa masslagring.Passiv kyld Northq nätdel 450W Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, väldigt tyst, oftast passivt. Datorljud 2kanal: ljudkort/dsp Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop och mätmikrofon.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av mrqaffe:

Jag tycker inte du ska pilla själv på något vis, det finns ju någon ansvarig som har bestämt att det ska konfas på ett visst sätt och börjar du själv montera in routrar eller gå runt vpn/brandväggar så lär du inte få beröm utan bli avskedad, ta kontakt med den som är ansvarig i stället.

Ja lite detta var jag rädd för, varför jag bara ville göra enkla saker. Som nu när jag låter en klient ha dubbla nätverkskort.

Vi har ett externt företag som har hand om vårt nätverk, de har pillat med sådant här innan och är riktigt duktiga på denna bit, tyvärr är mitt företags ekonomi milt sagt inte lite dålig, så jag kan ej anlita företaget. Det blir nog då att fortsätta med nuvarande lösning..

Tackar för hjälpen.

Att inte kunna arbeta hemifrån = ett stort projekt på runt 10 miljoner som går helt åt skogen, då jag bor långt ifrån arbetet och arbetar typ varenda kväll och helg på obetald övertid. (mycket av pengarna är licenspengar till oss, vilket vi behöver för att täcka upp tidigare förluster)

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009
Skrivet av Johan86c:

Ja lite detta var jag rädd för, varför jag bara ville göra enkla saker. Som nu när jag låter en klient ha dubbla nätverkskort.

Vad är syftet, varför vill du öppna upp mot datorer man uppenbarligen inte kan nå från utsidan ? Jag tror inte att du ska försöka nå dem på det sättet överhuvudtaget. finns det nån saklig anledning mer än "att du vill" så lär ju den ansvarige kunna lösa det.

Phenom 2 960T (körs x6) med passivt Ninja på Asus Crosshair 4 Asus 4850 och en väldig massa masslagring.Passiv kyld Northq nätdel 450W Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, väldigt tyst, oftast passivt. Datorljud 2kanal: ljudkort/dsp Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop och mätmikrofon.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av mrqaffe:

Vad är syftet, varför vill du öppna upp mot datorer man uppenbarligen inte kan nå från utsidan ? Jag tror inte att du ska försöka nå dem på det sättet överhuvudtaget. finns det nån saklig anledning mer än "att du vill" så lär ju den ansvarige kunna lösa det.

Jag bygger ihop ett datorsystem som ska finnas på ett annat företag, för att all kommunikation ska fungera korrekt så är alla datornamn/ip-adresser m.m samma som i den miljön som de ska vara i. Väldigt stor del av programvarorna handlar just om kommunikation så det är en viktig detalj.
Det är t.ex. redundanta servermjukvaror som där olika delar av mjukvaran kan köras på olika servrar, sedan 5st klienter på två olika maskiner som ska hämta data från serverna. Förutom detta så är det typ 40 olika plc m.m som servarna ska prata med.

Nu är problemet att jag ej kan arbeta med detta system hemifrån. Jag vill självklart undvika att systemet går att komma ut från internet, men internt på kontoret är det ingen risk. Visst folk kan sabba där, men de kan sabba på ett betydligt enklare sätt om de ville.

Edit:

Vdn vet om nuvarande lösning, men jag har nu fått höra att det är dumt att göra saker i det globala nätverket och jag borde prata med ansvariga om detta.
Vilket jag ska göra. Vi har dock tidigare gjort något liknande fast då blandade in vårt it-företag och det är typ bara sånt här jobb som vi sysslar med, fast då på en mindre skala där man slipper detta nätverksproblem.

Det jag kom och tänka på är att man såklart vill undvika onödig dritt på vårt egna nätverk, nu ska jag inte koppla in plcna i vår lokal. Men det är kanske dumt att öppna med en l3 switch eller något utan att veta vad som det kan störa på det ordinarie nätverket.

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Teoretiskt sett skulle du kunna installera och använda t.ex Team Viewer och klient till klient VPN i det programmet hemma. Men som sagt så borde du prata med någon teknisk ansvarig först för på många jobb skulle du nog få sparken.

Sedan så tvivlar jag på att du behöver skapa en labb miljö med korrekt IP som du säger eftersom du jobbar troligtvis mer med de högre lagren i OSI modellen, även om du jobbar med programmering och utveckling. Men kanske jag har fel angående det.

Sedan så finns det alltid en risk om systemet är anslutet till ett nät som går ut på internet det går inte att komma ifrån och om ni använder ett slutet nät så kommer du troligtvis inte kunna komma åt det hemma. Att ni använder en dator med dubbla nätkort spelar ingen roll eftersom risken är fortfarande lika stor eftersom den datorn har åtkomst till båda.

Hursomhelst så råder jag dig igen att prata med någon nätverks ansvarig så du inte gör nåt du kommer ångra.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Johan86c:

Jag bygger ihop ett datorsystem som ska finnas på ett annat företag, för att all kommunikation ska fungera korrekt så är alla datornamn/ip-adresser m.m samma som i den miljön som de ska vara i. Väldigt stor del av programvarorna handlar just om kommunikation så det är en viktig detalj.
Det är t.ex. redundanta servermjukvaror som där olika delar av mjukvaran kan köras på olika servrar, sedan 5st klienter på två olika maskiner som ska hämta data från serverna. Förutom detta så är det typ 40 olika plc m.m som servarna ska prata med.

Nu är problemet att jag ej kan arbeta med detta system hemifrån. Jag vill självklart undvika att systemet går att komma ut från internet, men internt på kontoret är det ingen risk. Visst folk kan sabba där, men de kan sabba på ett betydligt enklare sätt om de ville.

Edit:

Vdn vet om nuvarande lösning, men jag har nu fått höra att det är dumt att göra saker i det globala nätverket och jag borde prata med ansvariga om detta.
Vilket jag ska göra. Vi har dock tidigare gjort något liknande fast då blandade in vårt it-företag och det är typ bara sånt här jobb som vi sysslar med, fast då på en mindre skala där man slipper detta nätverksproblem.

Det jag kom och tänka på är att man såklart vill undvika onödig dritt på vårt egna nätverk, nu ska jag inte koppla in plcna i vår lokal. Men det är kanske dumt att öppna med en l3 switch eller något utan att veta vad som det kan störa på det ordinarie nätverket.

Rent tekniskt är det inga problem att ansluta sig till nätverket utifrån. Frågan är, vad vinner företaget på att låta dig eller andra komma åt denna miljö utifrån?

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Aug 2002
Skrivet av BrusE:

Rent tekniskt är det inga problem att ansluta sig till nätverket utifrån. Frågan är, vad vinner företaget på att låta dig eller andra komma åt denna miljö utifrån?

Han skrev ju det ovan, jobba hemifrån.

Tragiskt nog är det it-projekt på min arbetsplats som för tillfället har högst prio, att se till att få upp en bra VPN-lösning så att folk kan jobba hemifrån på kvällar och helger

Gällande att TS ska råka illa ut, tja, jobbar man obetald övertid varenda kväll och helg på ett företag med såpass kass ekonomi att anställda behöver komma till Swec för att lösa sina arbetsuppgifter så är det nog inte så mycket att råka illa ut ifrån

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Har du en dator på jobbet så är det enklaste att köra teamviewer på den. Sedan fjärrstyra den datorn hemifrån. Den datorn kan ha anslutning till bägge näten, men oavsett så har du noll hjälp av att ha dubbla nätverkskort på datorn hemma.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

hade satte en hemmarouter och natat ut fjärrskrivborden på olika portar på en IP-adress i det nät du kommer åt via VPN

Sedan känns det dumt om man programmerar ett system och hårdkodar IP-adresser.

Trädvy Permalänk
Medlem
Registrerad
Dec 2007

Trådkapning: Vet någon om (och hur) man kan få network discovery mellan/över subnät?

När något upprepas ofta så uppfattas det som sanning...
Det hör man ofta...
hmm...
Här är en fördjupning sett från ett lite annat håll https://youtu.be/cebFWOlx848
Läs också boken Thinking, Fast and Slow

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Undrar om jag inte hade fel när jag snabbläste på telefonen.
Alltså, det känns som om det inte finns någon bra lösning om man inte fixar problemet där det egentligen ligger. En brandvägg som du ansluter dig mot utifrån ska kunna lösa åtkomst till bägge näten, se till att det är korrekt autentiserat, se till att det håller bra säkerhet och dessutom logga så att man vet vad som hänt. Alla andra sätt att lösa det är ju högst tveksamma och bara riktigt fula workarounds.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010

Tackar er andra för era hjälp, läste igenom alla inlägg, svarar dock bara på en.

Skrivet av jocke92:

hade satte en hemmarouter och natat ut fjärrskrivborden på olika portar på en IP-adress i det nät du kommer åt via VPN

Sedan känns det dumt om man programmerar ett system och hårdkodar IP-adresser.

I största mån undviker jag hårdkodning, problemet är att det är många köpta komponenter inblandade där dessa inte alltid har så stor möjlighet till dynamisk adresser.
Men i vilket fall så ska jag testa av systemet på kontoret och då ska miljön vara så lik den riktiga miljön som möjligt, d.v.s. testa av med samma subnät, ipadresser osv. En bra test vore att testa av systemet med olika subnät m.m, det ingår dock inte i vårt åtagande och det är inget vi får betalt för.
Det är hellre inget kund gör så lätt med tanke på allt annat som finns i deras subnät. Det kan låta enkelt vid ett litet projekt, men här går testkostnaden på ett par hundra tusen om vi skulle testa detta.

Det finns otroligt mycket som ska testas så vi prioriterar bort saker som företaget skulle bygga om deras nät, hur fungerar det då? Troligtvis inget större problem, men inget vi direkt testar. Alla program- och konfigurationsfiler som vi checkar in, ska dessutom vara sådana att man direkt kan ta dem till driftmiljön utan att behöva ändra något alls.

i7 7700 & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Medlem
Plats
STHLM
Registrerad
Apr 2008
Skrivet av Johan86c:

Min lösning är att ha igång en vanlig stationär dator med dubbla nätverkskort ett för vardera subnät, där jag remotar in på denna för att därefter remota in på maskinerna som jag ska arbeta med. En knepig väg men det fungerar, någon som har en bättre ide?

Denna metod är annars väldigt vanlig på företag med många subnät där man vill separera dem och kallas för jump host. Har du inte dubbla nätverkskort kan du tilldela den du har dubba IP-adresser i stället.

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Dr.Mabuse:

Denna metod är annars väldigt vanlig på företag med många subnät där man vill separera dem och kallas för jump host. Har du inte dubbla nätverkskort kan du tilldela den du har dubba IP-adresser i stället.

Fast det tokiga är ju att man tappar rätt mycket av säkerheten. helt plötsligt finns en burk som man kan hacka som förbigår brandväggen fullständigt. Riktigt hål i huvudet-lösning tycker jag som gammal brandväggskille.

Trädvy Permalänk
Medlem
Plats
STHLM
Registrerad
Apr 2008
Skrivet av Talisker00:

Fast det tokiga är ju att man tappar rätt mycket av säkerheten. helt plötsligt finns en burk som man kan hacka som förbigår brandväggen fullständigt. Riktigt hål i huvudet-lösning tycker jag som gammal brandväggskille.

Jag syftade på principen. Jag förutsätter såklart ett visst säkerhetstänk från personen i fråga; VPN, tvåvägsautentisering, långa & krångliga lösenord etc som termineras i brandväggen. TS måste såklart involvera nätverksadministratörerna. Vad som är hål i huvudet är att vara dumsnål i ett läge med 10Mkr i potten.

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Dr.Mabuse:

Jag syftade på principen. Jag förutsätter såklart ett visst säkerhetstänk från personen i fråga; VPN, tvåvägsautentisering, långa & krångliga lösenord etc som termineras i brandväggen. TS måste såklart involvera nätverksadministratörerna. Vad som är hål i huvudet är att vara dumsnål i ett läge med 10Mkr i potten.

Precis som du skriver så är det ok om man kör exempelvis remote desktop och i brandväggarna och servern man kör det mot strypt ned det. Jag tycker inte att man ska ha en dator med dubbla nätverkskort i och med att man då förbinder två olika nät genom att gå runt brandväggen.

Rätt väg är givetvis som du säger tvåfaktorautentiserad VPN, men problemet hela tiden verkar vara att få göra ändringarna där man borde göra dem. Nämligen i brandväggen / routern.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av BasseBaba:

Han skrev ju det ovan, jobba hemifrån.

Jag förstår vad TS har att vinna, men min fråga gäller företaget. Finns det en ekonomisk vinst för dem?

Om företaget har en ekonomisk vinst på att låta anställda att arbeta hemifrån, varför skriver TS om detta på swe när företaget kan anställa någon som kan hjälpa dem med detta? Det tar kanske 2 timmar att sätta upp detta för dem som kan nätverk. Hur dyrt kan det vara 1500-2000 kr + moms?
Finns det inte pengar till detta så ska man inte pilla på nätverket. Går något sönder så blir det värre direkt!

Hur ska man få fram pengar för att laga problem som TS har skapat om han gör fel?

| Citera för svar! | Gilla bra inlägg! |